ransomware

Google recompensará descoberta de falhas em open source

A empresa anunciou hoje o lançamento do programa de recompensas para a localização de vulnerabilidades nos projetos de software open source mantidos por ela
Da Redação
30/08/2022

Francis Perron, gerente de programa técnico de segurança de código aberto do Google, e Krzysztof Kotowicz, engenheiro de segurança da informação da empresa, anunciaram hoje o lançamento do Open Source Software Vulnerability Rewards Program (OSS VRP) para recompensar a descobertas de vulnerabilidades nos projetos de código aberto mantidos pela organização. O Google é o mantenedor de projetos de grande porte como Golang, Angular e Fuchsia. Dependendo da gravidade da vulnerabilidade e da importância do projeto, as recompensas variam de US$ 100 a US$ 31.337. Os maiores valores também irão para vulnerabilidades “incomuns ou particularmente interessantes”.

Veja isso
Maior programa de bug bounty critica qualidade de patches
Apple anuncia proteção antispyware e bounty de US$ 2 mi

O programa tem como foco todas as versões atualizadas do software de código aberto (incluindo configurações de repositório) armazenadas nos repositórios públicos de organizações GitHub de propriedade do Google (por exemplo Google, GoogleAPIs, GoogleCloudPlatform e outros). Outro foco são as dependências de terceiros desses projetos (com notificação prévia à dependência afetada necessária antes do envio ao OSS VRP do Google). Os principais prêmios serão para vulnerabilidades encontradas nos projetos mais sensíveis: Bazel, Angular, Golang, Protocol buffers e Fuchsia. Essa lista será expandida, alerta o Google.

Para concentrar esforços nas descobertas que têm o maior impacto na cadeia de suprimentos, serão recebidas as inscrições de:

  • Vulnerabilidades que levam ao comprometimento da cadeia de suprimentos
  • Problemas de design que causam vulnerabilidades no produto
  • Outros problemas de segurança, como credenciais confidenciais ou vazadas, senhas fracas ou instalações inseguras

As regras estão publicadas em “https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules”

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)